-
16/07/2025
-
0
-
4 bài viết
Góc nhìn chuyên gia: Vạch trần RedHook và âm mưu tinh vi của nhóm tin tặc đứng sau
Toàn Đông Nam Á, trong đó có cả Việt Nam được một phen náo loạn sau sự xuất hiện của một mã độc nguy hiểm có tên RedHook với mục tiêu: giả mạo các ứng dụng của cơ quan nhà nước và ngân hàng tại Việt Nam để lừa người dùng Android cài đặt phần mềm độc hại, từ đó đánh cắp thông tin cá nhân, tài khoản ngân hàng và thậm chí có nguy cơ theo dõi thiết bị từ xa.
Tại thời điểm phân tích mẫu mã độc RedHook, hệ thống máy chủ điều khiển (C2 server) mà mã độc liên lạc đã trả về tổng cộng 570 mã định danh người dùng (user ID). Mỗi user ID tương ứng với một thiết bị đã bị mã độc xâm nhập và gửi dữ liệu về máy chủ.
Con số này cho thấy rằng ít nhất 570 thiết bị Android đã bị nhiễm mã độc, chưa kể các trường hợp chưa bị ghi nhận hoặc chưa kịp kết nối với máy chủ. Do vậy, con số thực tế có thể cao hơn và 570 user ID chỉ là số liệu thu được trong thời điểm ngắn, ở một mẫu hạ tầng phân phối mã độc nhất định, phản ánh tốc độ lây nhiễm đang tăng lên.
Đây là dấu hiệu rõ ràng cho thấy chiến dịch tấn công của RedHook đã vượt qua quy mô thử nghiệm và đang diễn ra trên thực tế với số lượng nạn nhân đáng báo động.
App sử dụng WebSocket để kết nối với rất nhiều máy chủ C2 bên ngoài
Nút tải xuống app độc hại
Sau khi tải app giả mạo xuống sẽ có dòng thông báo yêu cầu cho phép truy cập,
nếu nhấn "allow" sẽ cho phép tương tác với các app trên điện thoại.
App này yêu cầu cấp quyền truy cập ảnh nhưng thực chất "lươn lẹo" yêu cầu quyền dịch vụ hỗ trợ (Accessibility).
App giả mạo sẽ tương tác nhưng thực chất là "thao túng" với các app khác trên điện thoại của của nạn nhân.
Bởi mục tiêu có lẽ không chỉ là đánh cắp thông tin cá nhân hay chiếm đoạt tài sản mà còn có thể liên quan đến gián điệp mạng nếu không may người dùng đó là cán bộ, nhân viên nhà nước hoặc những người sử dụng dịch vụ công.
Mã nguồn ứng dụng chứa nhiều ghi chú bằng tiếng Trung, cho thấy khả năng mã độc có nguồn gốc từ nhóm phát triển nước ngoài, có thể thuộc khu vực Trung Quốc. Dù kỹ thuật như giả mạo website hay ứng dụng của cơ quan chính phủ không còn mới, nhưng lại vô cùng hiệu quả với người dùng thiếu cảnh giác, đặc biệt là người cao tuổi, người ít hiểu biết công nghệ hoặc đang có nhu cầu sử dụng dịch vụ công trực tuyến. Đây là mối đe dọa nghiêm trọng, cần được cảnh báo rộng rãi trong cộng đồng.
App sử dụng tiếng Trung Quốc để ghi lại log
Tại thời điểm phân tích mẫu mã độc RedHook, hệ thống máy chủ điều khiển (C2 server) mà mã độc liên lạc đã trả về tổng cộng 570 mã định danh người dùng (user ID). Mỗi user ID tương ứng với một thiết bị đã bị mã độc xâm nhập và gửi dữ liệu về máy chủ.
Con số này cho thấy rằng ít nhất 570 thiết bị Android đã bị nhiễm mã độc, chưa kể các trường hợp chưa bị ghi nhận hoặc chưa kịp kết nối với máy chủ. Do vậy, con số thực tế có thể cao hơn và 570 user ID chỉ là số liệu thu được trong thời điểm ngắn, ở một mẫu hạ tầng phân phối mã độc nhất định, phản ánh tốc độ lây nhiễm đang tăng lên.
Đây là dấu hiệu rõ ràng cho thấy chiến dịch tấn công của RedHook đã vượt qua quy mô thử nghiệm và đang diễn ra trên thực tế với số lượng nạn nhân đáng báo động.
App sử dụng WebSocket để kết nối với rất nhiều máy chủ C2 bên ngoài
Vì sao người dùng cần đặc biệt cảnh giác?
- Người dân Việt Nam có thói quen tin tưởng app có logo chính phủ hoặc ngân hàng, điều này đang bị kẻ xấu lợi dụng.
- Ứng dụng giả có thể đánh cắp mã OTP, đăng nhập tài khoản ngân hàng, đọc tin nhắn, ghi lại thao tác trên màn hình.
- Đối tượng tấn công có thể là người dùng thường hoặc nguy hiểm nếu đó là cán bộ, nhân viên nhà nước, gây nguy cơ rò rỉ thông tin nhạy cảm hoặc bị theo dõi gián điệp.
Nút tải xuống app độc hại
Vạch trần cách thức hoạt động của RedHook
RedHook hoạt động như một ứng dụng giả mạo tinh vi, đội lốt các app của cơ quan nhà nước, ngân hàng hoặc dịch vụ công trực tuyến để lừa người dùng Android tải về từ các website giả mạo, tin nhắn SMS hoặc mạng xã hội. Sau khi cài đặt, ứng dụng yêu cầu người dùng cấp quyền “Trợ năng” (Accessibility) cho phép theo dõi và thao tác trên màn hình cùng với quyền “Hiển thị trên ứng dụng khác” để tạo giao diện giả mạo như màn hình đăng nhập ngân hàng. Khi người dùng vô tình nhập thông tin, mã độc sẽ đánh cắp dữ liệu và gửi về máy chủ điều khiển từ xa ở nước ngoài thông qua giao thức WebSocket - một kỹ thuật truyền dữ liệu khó bị phát hiện bởi các giải pháp bảo mật truyền thống.Sau khi tải app giả mạo xuống sẽ có dòng thông báo yêu cầu cho phép truy cập,
nếu nhấn "allow" sẽ cho phép tương tác với các app trên điện thoại.
App này yêu cầu cấp quyền truy cập ảnh nhưng thực chất "lươn lẹo" yêu cầu quyền dịch vụ hỗ trợ (Accessibility).
App giả mạo sẽ tương tác nhưng thực chất là "thao túng" với các app khác trên điện thoại của của nạn nhân.
Liệu đây có phải âm mưu tinh vi của nhóm tin tặc thông minh, có tổ chức?
Theo góc nhìn của chuyên gia WhiteHat dựa trên các báo cáo và "profile" tinh vi về RedHook, dường như đây không đơn thuần là một chiêu lừa đảo cá nhân thông thường, mà cho thấy dấu hiệu của một chiến dịch tấn công mạng có tổ chức được lên kế hoạch bài bản.Bởi mục tiêu có lẽ không chỉ là đánh cắp thông tin cá nhân hay chiếm đoạt tài sản mà còn có thể liên quan đến gián điệp mạng nếu không may người dùng đó là cán bộ, nhân viên nhà nước hoặc những người sử dụng dịch vụ công.
Mã nguồn ứng dụng chứa nhiều ghi chú bằng tiếng Trung, cho thấy khả năng mã độc có nguồn gốc từ nhóm phát triển nước ngoài, có thể thuộc khu vực Trung Quốc. Dù kỹ thuật như giả mạo website hay ứng dụng của cơ quan chính phủ không còn mới, nhưng lại vô cùng hiệu quả với người dùng thiếu cảnh giác, đặc biệt là người cao tuổi, người ít hiểu biết công nghệ hoặc đang có nhu cầu sử dụng dịch vụ công trực tuyến. Đây là mối đe dọa nghiêm trọng, cần được cảnh báo rộng rãi trong cộng đồng.
App sử dụng tiếng Trung Quốc để ghi lại log
Người dân cần làm gì để bảo vệ mình?
Không tải app từ link lạ
- Tuyệt đối không cài đặt ứng dụng qua tin nhắn, mạng xã hội, website không chính thức.
- Chỉ cài ứng dụng từ CH Play (Google Play Store).
Kiểm tra quyền truy cập của ứng dụng
- Không cấp quyền "Trợ năng" hoặc "Hiển thị trên ứng dụng khác" nếu không rõ mục đích.
Cẩn trọng với các app có giao diện giống ngân hàng, chính phủ
- Kiểm tra kỹ tên ứng dụng, nhà phát hành.
- Nếu nghi ngờ, không đăng nhập bất kỳ thông tin gì, kể cả số điện thoại, OTP.
Gỡ ngay nếu nghi nhiễm
- Nếu thấy điện thoại hoạt động bất thường (hiển thị lạ, yêu cầu quyền lạ, tự động thao tác), ngắt mạng, gỡ ứng dụng, cài lại phần mềm bảo mật.
Chính phủ đang làm gì để bảo vệ người dân?
- Chính phủ Việt Nam thông qua Bộ Thông tin và Truyền thông (TT&TT) cùng Trung tâm Giám sát An toàn không gian mạng quốc gia (NCSC) đang chủ động giám sát không gian mạng 24/7. Hệ thống kỹ thuật quốc gia có khả năng phát hiện và yêu cầu chặn các trang web chứa mã độc, lừa đảo, giả mạo ngân hàng, cơ quan nhà nước… trước khi người dân bị ảnh hưởng.
- Tăng cường chú trọng đến công tác tuyên truyền kiến thức an ninh mạng cho người dân, đặc biệt là đối tượng dễ bị tổn thương như người cao tuổi, học sinh, cán bộ vùng sâu vùng xa. Các chiến dịch được triển khai qua truyền hình, báo chí, mạng xã hội để tiếp cận đa dạng tầng lớp.
- Ngoài các cơ quan nhà nước, nhiều tổ chức như Cộng đồng An ninh mạng WhiteHat hàng ngày, hàng giờ cũng phối hợp cùng các cơ quan, liên minh công nghệ và an ninh mạng để phát hiện sớm các nguy cơ trên không gian mạng. Sự tham gia của cộng đồng và doanh nghiệp góp phần tạo thành mạng lưới cảnh báo sớm, cùng nhau bảo vệ an toàn số cho người dân.
Chỉnh sửa lần cuối bởi người điều hành: